Abo
  • Services:

Paketmanager: Homebrew vergisst Zugangstoken auf öffentlichem Server

Beim beliebten Paketmanager Homebrew für MacOS ist es möglich gewesen, unbefugt Commits im offiziellen Github-Repo des Projekts einzufügen. Grund war ein öffentlich einsehbarer Github-API-Token.

Artikel veröffentlicht am ,
Github-API-Token in der öffentlichen Jenkins-Instanz des Homebrew-Projekts.
Github-API-Token in der öffentlichen Jenkins-Instanz des Homebrew-Projekts. (Bild: Eric Holmes)

Der Entwickler Eric Holmes hat in der öffentlich zugänglichen Jenkins-Instanz des Homebrew-Projekts einen Zugangstoken für das Github-Verzeichnis des weitverbreiteten Paketmanagers für MacOS gefunden. Damit war es ihm eigenen Angaben zufolge möglich, Schreibrechte für die zentralen Repos 'brew', 'homebrew-core' und 'formulae.brew.sh' zu erlangen und eigene Commits einzustellen.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

"Ich bin mit dem Ziel herangegangen zu schauen, ob ich mir Zugang zum Github-Repository von Homebrew verschaffen kann. Nur 30 Minuten später habe ich meinen ersten Commit in Homebrew/homebrew-core eingestellt", schreibt Holmes auf dem Blogging-Portal Medium. Auf seiner Suche habe er die offenbar bewusst öffentlich zugängliche Jenkins-Instanz des Projekts gefunden und sei dort schnell auf einen API-Token für Github aufmerksam geworden. Dieser gewährte ihm volle Commit-Rechte auf die zentralen Github-Repos von Homebrew.

Ein lohnendes Angriffsziel

Paketmanager spielen eine zentrale Rolle bei der sicheren Verteilung und Aktualisierung von Software über das Internet. "Homebrew hat Hunderttausende von Nutzern, einschließlich in einigen der größten Silicon-Valley-Firmen. Das am häufigsten installierte Paket der vergangenen 30 Tage ist Openssl mit über 500.000 Downloads", schreibt Holmes. "Wenn ich Böses gewollt hätte, hätte ich mit einer kleinen, wahrscheinlich unbemerkten Änderung an der Installationsformel des Openssl-Pakets eine Hintertür auf jedem Gerät platzieren können, das Openssl installiert." Diese Art von "Supply-Chain-Attacken" seien eine echte und andauernde Bedrohung. Obwohl der Fehler klar bei Homebrew liegt, ist dies Holmes zufolge keine Homebrew-spezifische Schwäche. Es handele sich stattdessen um ein systemisches Problem der Softwareindustrie. Die IT-Sicherheitsforschung müsse sich mehr mit Paketmanagern beschäftigen, schreibt er.

Problem schnell gelöst

Durch Holmes informiert, widerrief das Homebrew-Team den Zugangstoken offenbar innerhalb weniger Stunden. In einem Security Advisory heißt es außerdem, keines der Pakete im Repository sei kompromittiert worden. "Wir haben den Github-Support kontaktiert und sie haben überprüft, dass der betroffene Token nicht benutzt wurde, um irgendwelchen Code in die Repositories zu pushen."

Zudem seien weitere, in die Zukunft gerichtete Sicherheitsmaßnahmen ergriffen worden. Das Projekt nutze nun Branch Protection, eine Github-Funktion die nicht korrigierbare Code-Änderungen verhindert, und habe Zwei-Faktor-Authentifizierung via SMS deaktiviert. Holmes Empfehlung, in Zukunft auch auf GPG-signierten Code zu setzen, habe das Homebrew-Team aber als zu unpraktikabel verworfen.



Anzeige
Hardware-Angebote
  1. 119,90€

bioharz 09. Aug 2018

Ja, Windows ist unpraktibalel für Entwickler. Sie sollten vielleicht in Erwägung ziehen...

mcnesium 08. Aug 2018

Heute gewinnt auf jeden Fall das hier.


Folgen Sie uns
       


Dell XPS 13 (9380) - Hands on (CES 2019)

Wir haben uns Dells neues XPS 13 auf der CES 2019 angesehen.

Dell XPS 13 (9380) - Hands on (CES 2019) Video aufrufen
Vorschau Spielejahr 2019: Postnukleare Action und die nächste Konsolengeneration
Vorschau Spielejahr 2019
Postnukleare Action und die nächste Konsolengeneration

2019 beginnt mit Metro Exodus, Anthem, dem neuen Anno und The Division 2 richtig toll! Golem.de verrät, welche Blockbuster sonst noch kommen, was die Konsolenhersteller möglicherweise planen - und was auch Ende 2019 fast sicher nicht zum Spielen da sein wird.
Von Peter Steinlechner

  1. Slightly Mad Mad Box soll Konkurrenz für Xbox und Playstation werden
  2. Jugendschutz China erlaubt neue Computerspiele
  3. Jugendschutz Studie der US-Regierung entlastet Spielebranche

Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  2. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor
  3. Turing-Grafikkarte Nvidia plant Geforce RTX 2060

Mobilität: Überrollt von Autos
Mobilität
Überrollt von Autos

CES 2019 Die Consumer Electronic Show entwickelt sich immer stärker zu einer Mobilitätsmesse. Größere Fernseher und leichtere Laptops sind zwar noch ein Thema, doch die Stars in Las Vegas haben Räder.
Ein Bericht von Dirk Kunde

  1. Link Bar JBL bringt Soundbar mit eingebautem Android TV doch noch
  2. Streaming LG und Sony bringen Airplay 2 nur auf neue Smart-TVs
  3. Master Series ZG9 Sony stellt seinen ersten 8K-Fernseher vor

    •  /